Secure DevOps pro AKS

Kubernetes Service
Monitor
Pipelines
Zásady
GitHub

Nápady na řešení

Tento článek je myšlenkou řešení. Pokud byste chtěli rozšířit obsah o další informace, například potenciální případy použití, alternativní služby, aspekty implementace nebo cenové pokyny, dejte nám vědět tím, že nám poskytnete zpětnou vazbu na GitHubu.

DevOps a Kubernetes jsou společně lepší. Implementací zabezpečeného DevOps společně s Kubernetes v Azure můžete dosáhnout rovnováhy mezi rychlostí a zabezpečením a rychlejším doručováním kódu ve velkém měřítku.

Potenciální případy použití

Umístěte ochranné mantinely kolem vývojových procesů pomocí CI/CD s dynamickými ovládacími prvky zásad a pak urychlete smyčku zpětné vazby s konstantním monitorováním. Využijte Azure Pipelines k zajištění rychlého vynucování důležitých zásad s Azure Policy. Azure poskytuje pozorovatelnost v reálném čase pro kanály sestavení a verze a možnost snadno použít audit dodržování předpisů a rekonfiguraci.

Architektura

Diagram architektury znázorňuje vnitřní smyčku zdrojového kódu prostřednictvím kanálů C I/C D do diagramu Helm a kontejneru Azure do produkčního clusteru K K S.

Stáhněte si soubor aplikace Visio s touto architekturou.

Tok dat

  1. Vývojáři rychle iterují, testují a ladí různé části aplikace společně ve stejném clusteru Kubernetes.
  2. Kód se sloučí do úložiště GitHub, po kterém jsou automatizované buildy a testy spuštěné službou Azure Pipelines.
  3. Kanál verze automaticky spouští předem definovanou strategii nasazení s každou změnou kódu.
  4. Clustery Kubernetes jsou zřízené pomocí nástrojů, jako jsou grafy Helm, které definují požadovaný stav prostředků a konfigurací aplikací.
  5. Image kontejneru se odešle do Azure Container Registry.
  6. Operátory clusteru definují zásady v Azure Policy, které řídí nasazení do clusteru AKS.
  7. Azure Policy audituje požadavky z kanálu na úrovni řídicí roviny AKS.
  8. Telemetrie aplikací, monitorování stavu kontejneru a analýzy protokolů v reálném čase se získávají pomocí služby Azure Monitor.
  9. Přehledy se používají k řešení problémů a jsou předány do dalších plánů sprintu.

Komponenty

  • GitHub Enterprise hostuje zdrojový kód, kde můžou vývojáři spolupracovat ve vaší organizaci a opensourcových komunitách. GitHub Enterprise nabízí pokročilé funkce zabezpečení pro identifikaci ohrožení zabezpečení v kódu, který píšete, a v opensourcových závislostech.
  • Azure Pipelines je služba, která poskytuje úlohy kontinuální integrace a průběžného doručování, které automaticky sestavují a vydávají vaši aplikaci.
  • Azure Container Registry hostuje image kontejnerů Dockeru. Tato služba zahrnuje kontrolu imagí kontejneru s integrací s Microsoft Defender pro cloud.
  • Azure Kubernetes Service nabízí cluster Kubernetes, který je plně spravovaný Azure, aby se zajistila dostupnost a zabezpečení vaší infrastruktury.
  • Azure Policy umožňuje vytvářet, přiřazovat a spravovat zásady. Tyto zásady vynucují na vašich prostředcích různá pravidla a účinky, aby tyto prostředky zůstaly kompatibilní s vašimi firemními standardy a smlouvami o úrovni služeb. Integruje se také s Azure Kubernetes Service.
  • Azure Monitor umožňuje získat přehled o dostupnosti a výkonu vaší aplikace a infrastruktury. Poskytuje také přístup k signálům pro monitorování stavu vašeho řešení a včasné sledování neobvyklé aktivity.

Přispěvatelé

Tento článek spravuje Microsoft. Původně ji napsali následující přispěvatelé.

Hlavní autor:

Další kroky

Projděte si související architektury: